[ad_1]
Cybellum teve o prazer de entrevistar David Colombo, o garoto prodígio cibernético da Alemanha e fundador da Colombo Technologies para nosso podcast, Left to Our Own Devices.
Com menos de 20 anos, o prolífico pesquisador cibernético já tem a exposição de inúmeras vulnerabilidades críticas em seu crédito, incluindo a honra de invadir veículos da Tesla!
À medida que examinamos os veículos em busca de vulnerabilidades diariamente para nossa plataforma de segurança de produtos, mal podíamos esperar para ouvir mais sobre como um jovem hacker conseguiu violar os sistemas da Tesla. Vamos explicar como ele fez isso um pouco mais tarde.
Claro, David, sendo um hacker ético, tenta tornar o mundo um lugar melhor compartilhando imediatamente suas descobertas com o mundo, permitindo que a comunidade de pesquisa de segurança corrija problemas cibernéticos antes que ocorram violações reais.
Então como isso tudo começou?
Estudo rápido em cyber
David era apenas um menino quando se interessou por computadores. Ao receber seu primeiro laptop em seu aniversário de 10 anos, ele foi imediatamente cativado por seu desempenho e principalmente, é claro, pela Internet. Dominando rapidamente os conceitos básicos de computação e rede, David começou sua jornada no desenvolvimento de software. Examinando seu próprio código, ele de repente percebeu que havia vulnerabilidades que poderiam permitir que um estranho executasse código em seu próprio laptop sem seu conhecimento.
Esse foi o momento eureka que despertou sua paixão por pesquisar vulnerabilidades em aplicativos, sistemas operacionais e dispositivos.
Quando entrou na adolescência, David já estava descobrindo como proteger empresas, hospitais e outros usuários e redes de computadores. Ele achou essa atividade muito mais emocionante do que passar o tempo na sala de aula.
Na 10ª série, ele localizou um mentor da Câmara de Comércio Alemã que conseguiu que sua escola lhe desse permissão para aparecer apenas um ou dois dias por semana, permitindo que ele passasse o resto do tempo desenvolvendo seu computador. e habilidades cibernéticas.
Na tenra idade de 16 anos, David fundou sua própria empresa de segurança cibernética. Mas sendo jovem demais para entrar legalmente no negócio, seu pai teve que assinar contratos de consultoria em seu nome. Aos 18 anos, David finalmente conseguiu conduzir negócios cibernéticos por conta própria.
Seu Tesla, meu Tesla
Então, como David Colombo, na tenra idade de 19 anos, hackeou carros Tesla de alta tecnologia?
Antes de descrever o processo, David nos garante que, como está no negócio de hacking ético, tudo o que ele nos diz agora é público e não comprometerá os carros da Tesla ou seus proprietários de forma alguma. Então, aqui está a história.
No ano passado, David estava iniciando uma auditoria de segurança para uma empresa francesa. Ele deu uma olhada no código que compunha um registrador de dados que Tesla estava usando. O registrador de dados mostra onde o Tesla foi conduzido, a que velocidade e outras estatísticas de uso semelhantes. Mas, para seu espanto, David conseguiu descobrir facilmente onde o CEO da empresa francesa estava dirigindo seu próprio Tesla, além de outras informações privadas.
Sendo um fã da Tesla, ele começou a ler o código-fonte do GitHub que estava em outros componentes da Tesla.
Ach du lieber! Descobriu-se que o software de código aberto armazena as chaves digitais do carro de uma maneira que pode ser facilmente acessada do lado de fora. E não criptografado em tudo. David poderia facilmente obter as chaves digitais de qualquer carro.
O que ele poderia fazer com aquelas chaves? Basta desativar remotamente o modo de segurança do carro, destravar as portas, buzinar, “pequenas” coisas assim. Se o abridor da porta da garagem do proprietário estivesse conectado ao carro, David poderia abrir a porta da garagem também, na Finlândia, na Suíça, em qualquer lugar, tudo de seu laptop na Alemanha!
Isso foi um acaso? Havia mais de um ou dois carros envolvidos? David rapidamente fez uma busca na internet. Não. David encontrou facilmente mais de 20 carros nos quais poderia arrombar.
Ele imediatamente entrou em contato com a Tesla por e-mail e relatou a vulnerabilidade alarmante.
Como Tesla respondeu? De imediato. Mas David recebeu apenas uma resposta curta: “Estamos investigando”. No entanto, no dia seguinte, OMG! o e-mail chegou. “Demos uma boa olhada no que encontrou e imediatamente revogamos os tokens de acesso e notificamos os proprietários. Muito obrigado por nos avisar!”
perspectivas de segurança
A pouca idade de David não faz justiça ao seu vasto acúmulo de conhecimento e experiência cibernética. Hoje, sua experiência em consultoria está em alta demanda. Compartilhe conosco algumas das ideias que você coletou.
- A escassez de pessoal e experiência em segurança cibernética é terrível. As indústrias automotiva, médica e outras precisam de muitas pessoas dedicadas e apaixonadas por segurança cibernética.
- Mesmo vulnerabilidades “antigas” continuam afetando as operações seguras de máquinas conectadas modernas. Por exemplo, muitos dos equipamentos médicos mais recentes são baseados no Windows XP e são vulneráveis às mesmas falhas de segurança que atormentam os sistemas XP há décadas.
- Mais importante, David diz: “Não desista. Mantenha o foco. Como profissional de segurança cibernética, você terá um enorme impacto na segurança, nas indústrias e na sociedade.”
O futuro
Não há dúvida de que David é um grande talento, e todos nós temos muita sorte por ele estar do lado certo da pirataria. Mas sua história ilumina o estado da segurança de produtos automotivos: é mais fácil do que pensávamos violar a segurança de muitos dos carros inteligentes avançados de hoje.
A Tesla, ao contrário de outras montadoras, construiu seu produto em software e espera-se que tenha os controles de segurança cibernética para gerenciar a base de código desenvolvida internamente. Para cada Tesla, existem milhares de outros dispositivos e veículos que são relativamente novos no jogo de segurança cibernética e ainda lutam para proteger sua cadeia de suprimentos de software de jogadores mal-intencionados. Isso torna a maioria dos veículos muito mais fáceis de explorar, mesmo sem a experiência de David.
Na Cybellum, nossa missão é equipar as equipes de segurança de produtos com uma poderosa plataforma de segurança de produtos que aborda ameaças cibernéticas novas e emergentes, para que não chegue a isso.
Você pode ouvir este e outros episódios de Left to Our Own Devices em https://cybellum.com/podcasts/
Para saber mais sobre como o Cybellum ajuda a proteger veículos e outros dispositivos, visite Cybellum.com.
Patrocinado por Cybellum
[ad_2]
